Info Keselamatan Siber

34

Nota (*): Untuk diisi oleh anggota PERKESO sahaja

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 1 dari 146 POLISI KESELAMATAN SIBER PERKESO Polisi Keselamatan Siber Pertubuhan Keselamatan Sosial (PERKESO) Kementerian Sumber Manusia Versi 1.1 14 Disember 2022

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 2 dari 146 POLISI KESELAMATAN SIBER PERKESO INFORMASI DOKUMEN VERSI KELULUSAN TARIKH KUATKUASA Versi 1.0 Mesyuarat Jawatankuasa Pemandu ICT (JPICT) PERKESO Bil 3/2022 25 April 2022 Versi 1.1 Mesyuarat Jawatankuasa Pemandu ICT (JPICT) PERKESO Bil 8/2022 13 Disember 2022 A. REKOD PINDAAN Tarikh VERSI PINDAAN/PENAMBAHAN 14 Disember 2022 1.1 Pindaan Bidang 05(A.9) Kawalan Akses (Access Control), DP050403(A.9.4.3) Sistem Pengurusan Kata Laluan (Password Management System). Tambahbaik para c. Panjang kata laluan digalakkan mempunyai LAPAN (8) AKSARA dengan gabungan antara huruf, aksara khas dan nombor (alphanumeric) KECUALI kelulusan khas daripada CSIRT PERKESO. Pindaan Bidang 05(A.9) Kawalan Akses (Access Control), DP050205(A.9.2.5) Kajian Semula Hak Akses Pengguna (Review of User Access Rights). Keluarkan penyataan “Pemilik aset hendaklah menyemak hak akses pengguna pada sela masa yang ditetapkan”. 14 Disember 2022 1.1 Pindaan Bidang 02(A.6) Perancangan Bagi Keselamatan Organisasi (Organization of

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 3 dari 146 POLISI KESELAMATAN SIBER PERKESO Information Security). Tambahbaik sub bidang DP020101(A.6.1.1) Peranan dan Tanggungjawab Keselamatan Maklumat (The Role and Responsibility of Information Security), para (x) Cyber Security Incident Response Team (CSIRT PERKESO). Mengemaskini peranan dan tanggungjawab CSIRT PERKESO adalah seperti berikut : a. Memaklumkan insiden keselamatan siber kepada CSIRT PERKESO (sekiranya ada); dan b. Memantau, mengesan dan mengesahkan aduan insiden keselamatan siber, seterusnya mengenal pasti jenis insiden serta menilai impak insiden keselamatan siber; c. Melaksanakan pengurusan insiden keselamatan siber; dan d. Menyebarkan makluman/amaran berkaitan insiden keselamatan siber kepada semua warga PERKESO. 14 Disember 2022 1.1 Pindaan Bidang 02(A.6) Perancangan Bagi Keselamatan Organisasi (Organization of Information Security). Tambahbaik sub bidang DP020101(A.6.1.1) Peranan dan Tanggungjawab Keselamatan Maklumat (The Role and Responsibility of Information Security), para (xi) Pasukan Petugas Keselamatan Siber (PPKS) PERKESO. Peranan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 4 dari 146 POLISI KESELAMATAN SIBER PERKESO dan tanggungjawab PPKS adalah seperti berikut : a. Menerima dan mengesahkan aduan insiden keselamatan siber, seterusnya mengenal pasti jenis insiden serta menilai impak insiden keselamatan siber; b. Bertindak sebagai first level support kepada CSIRT PERKESO dalam mengendalikan insiden keselamatan siber, mengawasi dan memberi khidmat nasihat berkaitan keselamatan siber; c. Merekod dan menjalankan siasatan awal terhadap insiden yang diterima; d. Menjalankan penilaian untuk memastikan tahap keselamatan siber dan mengambil tindakan pemulihan serta pengukuhan keselamatan siber supaya insiden baharu dapat dielakkan; dan e. Menyediakan laporan insiden keselamatan siber 14 Disember 2022 1.1 Mengemas kini pernyataan : i) “Computer Emergency Response Team (CERT)” kepada “Cyber Security Incident Response Team (CSIRT)”

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 5 dari 146 POLISI KESELAMATAN SIBER PERKESO Diluluskan Oleh: Jawatankuasa Pemandu ICT (JPICT) PERKESO.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 6 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang Polisi Keselamatan Siber PERKESO Bidang 01(A.5) Polisi Keselamatan Maklumat Bidang 02(A.6) Perancangan Bagi Keselamatan Maklumat Bidang 03(A.7) Keselamatan Sumber Manusia Bidang 04(A.8) Pengurusan Aset Bidang 05(A.9) Kawalan Akses Bidang 06(A.10) Kriptografi Bidang 07(A.11) Keselamatan Fizikal dan Persekitaran Bidang 08(A.12) Keselamatan Operasi Bidang 09(A.13) Keselamatan Komunikasi Bidang 10(A.14) Pemerolehan, Pembangunan dan Penyelenggaraan Sistem Bidang 11(A.15) Hubungan Dengan Pembekal Bidang 12(A.16) Pengurusan Insiden Keselamatan Maklumat Bidang 13(A.17) Aspek Keselamatan Maklumat dalam Pengurusan Kesinambungan Perkhidmatan Bidang 14(A.18) Pematuhan Format Polisi Keselamatan Siber PERKESO DP010101 (A.5.1.1) Polisi Keselamatan Maklumat DP 01 01 01 A.5.1.1 PKSB PERKESO Bidang Objektif mengikut Bidang Kawalan Objektif Bagi Objektif mengikut Bidang Kod yang digunakan dalam ISO/IEC 27001:2013

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 7 dari 146 POLISI KESELAMATAN SIBER PERKESO PENGENALAN Polisi Keselamatan Siber (PKSB) PERKESO ini bertujuan untuk menerangkan mengenai tanggungjawab dan peraturan-peraturan yang perlu difahami dan dipatuhi oleh semua anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO dalam melindungi maklumat di ruang siber. OBJEKTIF Polisi Keselamatan Siber PERKESO dibangunkan untuk menjamin kesinambungan perkhidmatan PERKESO dengan meminimumkan kesan insiden keselamatan siber. Dasar ini juga akan memudahkan perkongsian maklumat sesuai dengan keperluan operasi PERKESO bagi memastikan semua maklumat dilindungi. Objektif utama Polisi Keselamatan Siber PERKESO ini dibangunkan adalah seperti berikut: a. Menerangkan kepada semua pengguna merangkumi anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO mengenai tanggungjawab dan peranan mereka dalam melindungi maklumat di ruang siber; b. Memastikan keselamatan penyampaian perkhidmatan PERKESO di tahap tertinggi sekali gus meningkatkan tahap keyakinan pihak berkepentingan seperti agensi Kerajaan, industri dan orang awam; c. Memastikan kelancaran operasi PERKESO dengan meminimumkan kerosakan atau kemusnahan disebabkan oleh insiden yang berlaku; d. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat dari kesan kegagalan atau kelemahan yang berlaku dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 8 dari 146 POLISI KESELAMATAN SIBER PERKESO e. Menyediakan ruang bagi penambahbaikan yang berterusan kepada pengurusan keselamatan dan pentadbiran ICT. TADBIR URUS Bagi memastikan keberkesanan dan kejayaan pelaksanaan PKSB PERKESO, satu (1) tadbir urus iaitu Jawatankuasa Pemandu ICT (JPICT) dan Jawatankuasa Pelaksana ISMS (JPISMS) PERKESO telah diwujudkan seperti berikut : Rajah 1 : Struktur Jawatankuasa Pemandu ICT dan Jawatankuasa Pelaksana ISMS PERKESO JPICT PERKESO JP ISMS PERKESO URUS SETIA

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 9 dari 146 POLISI KESELAMATAN SIBER PERKESO (i) Keahlian Jawatankuasa ini adalah seperti berikut : Pengerusi : Ketua Eksekutif PERKESO Ahli : (i) Timbalan Ketua Eksekutif (Operasi) (ii) Chief Strategy and Transformation Officer (CSTO) (iii) Chief Legal Officer (CLO) (iv) Chief Financial Officer (CFO) (v) Ketua Bahagian Perolehan (vi) Ketua Cawangan ICT (vii) Ketua Cawangan Strategi dan Kualiti (viii) Ketua Cawangan Pengurusan Risiko (ix) Pegawai Keselamatan ICT (ICTSO) Urus Setia : Unit Pengurusan Strategi dan Pengurusan Program/Inisiatif ASET ICT PERKESO Aset ICT PERKESO merangkumi Maklumat, Aliran Data, Platform Aplikasi dan Perisian, Peranti Fizikal dan Sistem, Sistem Luaran serta Sumber Luaran seperti berikut : (1) Maklumat Semua penyedia perkhidmatan dalam PERKESO hendaklah mengenal pasti maklumat yang dijana dan hendaklah mengasingkannya mengikut kategori : (a) Maklumat Rahsia Rasmi Di bawah Akta Rahsia Rasmi 1972 (Akta 88), maksud Maklumat Rahsia Rasmi ialah apa-apa suratan yang dinyatakan dalam Jadual kepada Akta Rahsia Rasmi 1972 (Akta 88) dan apa-apa maklumat dan bahan berhubungan dengannya dan termasuklah apa-apa dokumen rasmi,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 10 dari 146 POLISI KESELAMATAN SIBER PERKESO maklumat dan bahan lain sebagaimana yang boleh dikelaskan sebagai “Rahsia Besar”, “Rahsia”, “Sulit” atau “Terhad” mengikut mana yang berkenaan oleh seorang Menteri, Menteri Besar atau Ketua Menteri sesuatu negeri atau mana-mana pegawai awam yang dilantik di bawah seksyen 2B Akta Rahsia Rasmi 1972. (b) Maklumat Rasmi Maklumat Rasmi ialah maklumat yang diwujudkan, digunakan, diterima atau dikeluarkan secara rasmi oleh PERKESO semasa menjalankan urusan rasmi. Maklumat rasmi ini juga merupakan rekod awam yang tertakluk di bawah peraturan-peraturan Arkib Negara. (c) Maklumat Pengenalan Peribadi Maklumat Pengenalan Peribadi (PII atau Personally Identifiable Information) ialah maklumat yang boleh digunakan secara tersendiri atau digunakan bersama maklumat lain untuk mengenal pasti individu tertentu. Data PII mengandungi data peribadi dan data sensitif individu. PII boleh juga terkandung dalam Maklumat Rahsia Rasmi. (d) Data Terbuka Data Terbuka merujuk kepada data kerajaan yang boleh digunakan secara bebas, boleh dikongsikan dan digunakan semula oleh rakyat, agensi sektor awam atau swasta untuk sebarang tujuan. PII dikecualikan daripada data terbuka. (2) Aliran Data Aliran Data merujuk kepada laluan lengkap data tertentu semasa transaksi. Aliran Data dan komunikasi dalam PERKESO hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. Saluran komunikasi termasuk : (a) Saluran komunikasi dan aliran data antara sistem di PERKESO; (b) Saluran komunikasi dan aliran data ke sistem luar; dan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 11 dari 146 POLISI KESELAMATAN SIBER PERKESO (c) Saluran komunikasi dan aliran data ke ruang storan pengkomputeran awan (cloud computing) dianggap sebagai saluran komunikasi luaran. (3) Platform Aplikasi dan Perisian Semua platform aplikasi dan perisian hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. (4) Peranti Fizikal dan Sistem Semua peranti fizikal dan sistem hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. Peranti fizikal tidak terhad : (a) Pelayan; (b) Peranti / Peralatan Rangkaian; (c) Komputer Peribadi / Komputer Riba; (d) Telefon / Peranti Pintar; (e) Media Storan; (f) Peranti dengan sambungan ke rangkaian, contohnya pengimbas, mesin pencetak, sistem kawalan akses, alat kawalan dan sistem kamera litar tertutup (CCTV); (g) Peranti pengkomputeran peribadi milik persendirian yang digunakan untuk urusan rasmi Kerajaan; dan (h) Peranti pengesahan (authentication devices), contohnya token keselamatan, dongle dan alat pengimbas biometrik. (5) Sistem Luaran Sistem Luaran ialah sistem bukan milik PERKESO yang dihubungkan dengan sistem PERKESO. Semua sistem luaran hendaklah dikenal pasti, direkodkan dan dinilai tahap keselamatannya secara berkala. (6) Sumber Luaran Semua perkhidmatan sumber luaran hendaklah dikenal pasti, direkod dan dinilai tahap keselamatannya secara berkala. Perkhidmatan sumber luaran ialah perkhidmatan yang disediakan oleh organisasi luar untuk menyokong operasi PERKESO. Contoh perkhidmatan sumber luaran ialah : (a) Perisian Sebagai Satu Perkhidmatan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 12 dari 146 POLISI KESELAMATAN SIBER PERKESO (b) Platform Sebagai Satu Perkhidmatan (c) Infrastruktur Sebagai Satu Perkhidmatan (d) Storan Pengkomputeran Awan (e) Pemantauan Keselamatan Saluran komunikasi dan aliran data kepada perkhidmatan ini hendaklah dikenal pasti, direkodkan, dikaji semula dan dipastikan keselamatannya secara berkala. RISIKO PERKESO hendaklah mengenal pasti risiko yang berkaitan dengan maklumat yang terlibat. Risiko ialah kebarangkalian PERKESO tidak dapat melaksanakan fungsi jabatan dengan baik. Penilaian risiko hendaklah dilaksanakan bagi menilai risiko terjejasnya kerahsiaan, integriti dan ketersediaan maklumat dalam ruang siber PERKESO. Penilaian risiko hendaklah dilaksanakan sekurang-kurangnya sekali setahun atau apabila berlaku sebarang perubahan ketara kepada persekitaran siber PERKESO. Penilaian risiko hendaklah dikenal pasti dan dilaksanakan dengan tindakan berikut : (1) Kerentanan Kerentanan adalah kelemahan atau kecacatan aset yang mungkin dieksploitasi dan mengakibatkan pelanggaran keselamatan. Kerentanan setiap aset hendaklah dikenal pasti sebagai sebahagian daripada proses pengurusan risiko. (2) Ancaman PERKESO hendaklah mengenal pasti ancaman yang disengajakan atau tidak disengajakan yang mungkin mengeksploitasi sebarang kelemahan yang telah dikenal pasti.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 13 dari 146 POLISI KESELAMATAN SIBER PERKESO (3) Impak PERKESO hendaklah menganggarkan impak insiden yang mungkin terjadi. Impak boleh dikategorikan kepada impak teknikal dan impak berkaitan dengan fungsi PERKESO. (4) Tahap Risiko Tahap Risiko ditentukan daripada ancaman, kebarangkalian dan impak risiko. Kaedah penentuan hendaklah mengikut polisi penilaian atau pengurusan risiko yang sedang berkuat kuasa. (5) Penguraian Risiko (a) Penguraian Risiko hendaklah dikenal pasti untuk menentukan sama ada risiko perlu dielakkan, dikurangkan, diterima atau dipindahkan dengan mengambil kira kos/faedahnya. (b) Ancaman berkaitan baki risiko dan risiko yang diterima hendaklah dipantau secara berkala dengan mengambil kira perkara berikut : (i) Teknologi Teknologi hendaklah dikenal pasti untuk mengurangkan risiko. Sebagai contoh, tembok api digunakan untuk menghadkan capaian logikal kepada sistem tertentu. (ii) Proses Perekayasaan proses, Prosedur Operasi Standard dan polisi hendaklah dikenal pasti untuk mengurangkan risiko. (iii) Manusia Mengenal pasti sumber manusia berkelayakan dan kompeten yang mencukupi serta memastikan pengurusan sumber manusia dilaksanakan sebagai pengolahan risiko yang berkesan. (6) Pengurusan Risiko

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 14 dari 146 POLISI KESELAMATAN SIBER PERKESO (a) Penyedia perkhidmatan digital di PERKESO hendaklah memastikan tadbir urus pengurusan risiko diwujudkan dengan mengambil kira perkara berikut : (i) Mengenal pasti kerentanan; (ii) Mengenal pasti ancaman; (iii) Menilai risiko; (iv)Menentukan penguraian risiko; (v) Memantau keberkesanan penguraian risiko; dan (vi)Memantau ancaman yang berkaitan dengan baki risiko dan risiko yang diterima. (b) Tahap Risiko dan Pengurusan Risiko hendaklah dijadikan agenda tetap dan dibincangkan sekurang-kurangnya sekali setahun atau apabila perlu oleh Bahagian masing-masing dan dimaklumkan kepada Mesyuarat Jawatankuasa Pemandu ICT dan Jawatankuasa Pelaksana ISMS PERKESO. PRINSIP KESELAMATAN Prinsip keselamatan hendaklah dipilih berdasarkan penilaian risiko dan kategori maklumat yang dikendalikan oleh sistem. Bagi mencapai objektif keselamatan, PERKESO hendaklah melaksanakan prinsip keselamatan seperti yang berikut : (1) Prinsip “Perlu-Tahu” PERKESO hendaklah melaksanakan mekanisme bagi memberikan kebenaran kepada capaian maklumat. Maklumat yang dicapai oleh pengguna yang dibenarkan hendaklah berdasarkan prinsip “Perlu-Tahu” yang membenarkan capaian maklumat yang diperlukan untuk melaksanakan tugasnya sahaja.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 15 dari 146 POLISI KESELAMATAN SIBER PERKESO Bagi capaian spesifik Maklumat Rahsia Rasmi, penggunaan yang dibenarkan hendaklah dihadkan kepada masa, lokasi, peranan dan fungsi pengguna tersebut. (2) Hak Keistimewaan Minimum Pengguna hendaklah diberikan hak keistimewaan minimum iaitu terhad kepada keperluan untuk menjalankan tugasnya. Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan Ketua Jabatan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Prinsip ini digunakan untuk menyekat hak akses kepada aplikasi, sistem, proses dan peranti kepada pengguna yang dibenarkan untuk melaksanakan aktiviti. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas. (3) Pengasingan Tugas Bagi mengekalkan prinsip sekat-dan-imbang (check and balance), PERKESO hendaklah melaksanakan pengasingan tugas bagi tugas yang kritikal supaya tidak dilaksanakan oleh seorang pengguna sahaja yang bertindak atas kuasa tunggalnya. (4) Kawalan Capaian Berdasarkan Peranan Capaian sistem hendaklah dihadkan kepada pengguna yang dibenarkan mengikut peranan dalam fungsi tugas mereka dan kebenaran untuk melaksanakan operasi tertentu adalah berdasarkan peranan tersebut. (5) Peminimuman Data PERKESO hendaklah mengamalkan prinsip peminimuman data yang menghadkan penyimpanan data peribadi kepada yang diperlukan dan disimpan dalam tempoh yang diperlukan sahaja.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 16 dari 146 POLISI KESELAMATAN SIBER PERKESO TEKNOLOGI Teknologi untuk melindungi data hendaklah dikenal pasti di semua peringkat pemprosesan data di setiap elemen pengkomputeran seperti berikut : (1) Peringkat Pemprosesan Data (a) Data-dalam-simpanan (i) PERKESO hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-simpanan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data-dalamsimpanan (ii) Maklumat Rahsia Rasmi, Maklumat Rasmi dan PII perlu dilindungi daripada segi kerahsiaan dan integriti data. Data terbuka perlu dilindungi daripada segi integriti data. (b) Data-dalam-pergerakan PERKESO hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-pergerakan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data-dalam-pergerakan. (c) Data-dalam-penggunaan (i) PERKESO hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-penggunaan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Di samping itu, teknologi untuk menentukan asal data dan tanpa sangkalan mungkin diperlukan. Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data dalam penggunaan.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 17 dari 146 POLISI KESELAMATAN SIBER PERKESO (ii) Teknologi yang bersesuaian boleh digunakan oleh PERKESO untuk memastikan asal data dan data/transaksi tanpa-sangkal. (d) Perlindungan Ketirisan Data (i) Teknologi perlindungan ketirisan data bertujuan untuk menghalang pengguna yang sah daripada menyebarkan maklumat tanpa kebenaran. (ii) Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk menghalang atau mengesan ketirisan data. (2) Elemen Dalam Persekitaran Pengkomputeran Berdasarkan penilaian risiko dan pelan pengurusan risiko, PERKESO hendaklah menggunakan kaedah teknologi dan kawalan keselamatan (counter measure dan control measure) yang dapat melindungi data di semua peringkat saluran pemprosesan bagi semua elemen dalam persekitaran pengkomputeran. Maklumat Rahsia Rasmi hendaklah disimpan dan diproses dalam persekitaran pengkomputeran mengikut Arahan Keselamatan yang dikeluarkan oleh Ketua Pegawai Keselamatan Kerajaan Malaysia (CGSO) atau mendapat pengesahan dari CGSO. Setiap projek ICT yang dibangunkan di PERKESO hendaklah mempunyai Pelan Pengurusan Keselamatan Maklumat tersendiri yang mengandungi maklumat terperinci berhubung seni bina sistem, teknologi, kawalan keselamatan bagi setiap kategori elemen di bawah : (a) Peranti Pengkomputeran Peribadi (i) Peranti pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk beinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, stesen kerja, telefon pintar, tablet dan peranti storan. (ii) Pengguna yang menggunakan peranti pengkomputeran peribadi milik persendirian untuk mencapai Maklumat Rasmi hendaklah memohon kebenaran daripada PERKESO. Walau bagaimanapun,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 18 dari 146 POLISI KESELAMATAN SIBER PERKESO peranti pengkomputeran peribadi milik persendirian hendaklah dilarang daripada mencapai maklumat Rahsia Rasmi dan dilarang sama sekali dibawa masuk ke kawasan terperingkat. Teknologi yang boleh menguruskan peranti pengkomputeran peribadi milik persendirian hendaklah dilaksanakan sebagai sebahagian daripada pelan pengolahan risiko. (b) Peranti Rangkaian (i) Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti suis, penghala, tembok api, peranti VPN dan kabel. (ii) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-pergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. (c) Aplikasi (i) Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi, sistem operasi. (ii) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. (d) Pelayan (i) Pelayan merujuk kepada peranti pengkomputeran mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat. (ii) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 19 dari 146 POLISI KESELAMATAN SIBER PERKESO (e) Persekitaran Fizikal (i) Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan sistem ICT. (ii) PERKESO hendaklah merujuk kepada Dasar/Arahan/SOP dalaman untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat. (iii) Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth. (iv) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. PROSES Anggota PERKESO yang terlibat hendaklah melindungi keselamatan siber dengan melaksanakan perkara-perkara berikut : (1) Konfigurasi Asas (a) Semua sistem hendaklah mempunyai satu konfigurasi asas yang direkodkan dan menjadi prasyarat pentauliahan sistem. (b) Konfigurasi asas yang baharu hendaklah diwujudkan selaras dengan prosedur kawalan perubahan. (2) Kawalan Perubahan Konfigurasi (a) Prosedur kawalan perubahan konfigurasi hendaklah diwujud dan dilaksana bagi perubahan kepada sistem termasuk tampalan perisian, pakej perkhidmatan, konfigurasi rangkaian dan pengemaskinian sistem operasi. (b) Sebarang perubahan yang tidak termasuk dalam konfigurasi asas hendaklah diluluskan oleh jawatankuasa yang dilantik atau diberi

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 20 dari 146 POLISI KESELAMATAN SIBER PERKESO kuasa berdasarkan prosedur kawalan perubahan konfigurasi bagi menghasilkan konfigurasi asas terkini. (c) Jawatankuasa yang dilantik atau diberi kuasa hendaklah menentukan keperluan untuk melaksanakan Penilaian Tahap Keselamatan berdasarkan jangkaan impak perubahan. (3) Sandaran (a) Sandaran hendaklah dilaksanakan secara berkala berdasarkan peraturan semasa yang sedang berkuat kuasa untuk memastikan bahawa sistem boleh dipulihkan. (b) Media sandaran hendaklah disimpan dalam persekitaran yang selamat dan di lokasi yang berasingan. (4) Kitaran Pengurusan Aset (a) Pindah Pemindahan hak milik aset berlaku dalam keadaan berikut : (i) Anggota PERKESO meninggalkan agensi disebabkan oleh persaraan, peletakkan jawatan atau penugasan semula; (ii) Aset yang dikongsi untuk kegunaan sementara; (iii) Pemberian aset kepada agensi lain; dan (iv) Aset dikembalikan setelah tamat tempoh sewaan. Data dalam peranti tersebut hendaklah diuruskan mengikut tatacara pelupusan di perkara (b). (b) Pelupusan (i) Pelupusan media storan hendaklah dirujuk kepada pemilik data sebagai langkah pertama di mana pemilik data akan membuat keputusan sama ada sistem itu mengandungi maklumat terperingkat atau sebaliknya. (ii) Pelupusan boleh dalam bentuk pemusnahan fizikal dan/atau sanitasi data. (iii) Sanitasi data hendaklah mengikut Garis Panduan Sanitasi Media Elektronik Sektor Awam yang sedang berkuat kuasa.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 21 dari 146 POLISI KESELAMATAN SIBER PERKESO (c) Kitaran Hayat (i) Kitaran hayat data hendaklah diuruskan mengikut Akta 629. (ii) Akta 629 memberikan mandat bahawa rekod kewangan hendaklah disimpan selama tujuh tahun dan rekod umum selama lima tahun. MANUSIA Anggota PERKESO hendaklah memahami peranan dan tanggungjawab mereka. Mereka hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa. Sistem penyampaian perkhidmatan Kerajaan hendaklah dikendalikan oleh individu yang kompeten dan berpengetahuan. Kakitangan hendaklah dilatih dalam bidang pengkhususan yang diperlukan. Asas kecekapan pengguna hendaklah dibangunkan bagi semua anggota PERKESO (1) Kompetensi Pengguna (a) Kompetensi pengguna termasuk : (i) Kesedaran amalan terbaik keselamatan maklumat dengan memupuk amalan baik keselamatan siber dengan mewujudkan komunikasi ICT dan program kesedaran keselamatan siber. (ii) Kemahiran menggunakan alat keselamatan dengan menyediakan latihan yang mencukupi kepada semua anggota PERKESO berhubung alat-alat keselamatan berkaitan untuk memastikan mereka mampu untuk melaksanakan tugas harian mereka. (b) Kompetesi pengguna hendaklah tertakluk kepada penilaian berkala melalui ujian mendalam.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 22 dari 146 POLISI KESELAMATAN SIBER PERKESO (c) Setiap orang yang diberi kuasa untuk mengendalikan dokumen terperingkat, kompetensi tambahan pengguna selaras dengan arahan/pekeliling semasa adalah diharapkan. (2) Kompetensi Pelaksana (a) Anggota PERKESO yang menguruskan aset ICT hendaklah memenuhi keperluan kecekapan minimum mengikut spesifikasi kerja mereka. (b) Pegawai Keselamatan ICT hendaklah memenuhi syarat-syarat berikut : (i) Mempunyai kelayakan akademik dalam bidang berkaitan atau sijil profesional keselamatan siber. (ii) Memenuhi keperluan pembelajaran berterusan. (iii) Menimba pengalaman yang mencukupi dalam bidang keselamatan siber (iv)Memperoleh tapisan keselamatan daripada agensi yang diberi kuasa (CGSO). (c) Pegawai Keselamatan ICT yang dilantik oleh PERKESO hendaklah memenuhi keperluan kompetensi di atas. Pegawai Keselamatan ICT bertanggungjawab untuk merancang, mengurus dan melaksanakan program keselamatan di PERKESO. (3) Peranan (a) Peranan pengguna hendaklah diberi berdasarkan keperluan dan kompetensi pengguna. (b) Setiap orang yang terlibat dengan Maklumat Rahsia Rasmi hendaklah menandatangani perjanjian ketakdedahan seperti Arahan Keselamatan. Salinan asal perjanjian yang ditandatangani hendaklah disimpan dengan selamat dan menjadi rujukan masa depan. (c) Tiada hak capaian automatik diberikan kepada individu tanpa mengira tapisan keselamatan mereka. (d) Anggota PERKESO yang berperanan menguruskan aset ICT hendaklah memastikan semua aset ICT Jabatan dikembalikan sekiranya berlaku perubahan.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 23 dari 146 POLISI KESELAMATAN SIBER PERKESO (e) Anggota PERKESO yang terlibat dengan perubahan peranan hendaklah menyerahkan semua aset Jabatan yang berkaitan seperti tersenarai dalam senarai aset Nota Serah Tugas. (f) Anggota PERKESO lain yang terlibat dengan perubahan peranan hendaklah menyerahkan semua aset Jabatan dengan diselia oleh kakitangan yang dipertanggungjawabkan oleh Jabatan. PELAN PENGURUSAN KESELAMATAN MAKLUMAT Setiap projek di PERKESO hendaklah menyediakan Pelan Pengurusan Keselamatan Maklumat. Pelan ini mengandungi maklumat terperinci yang menyatakan keutamaan aplikasi, kawalan capaian dan keperluankeperluan khusus yang lain. Pelan ini hendaklah dibangunkan dengan berpandukan Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Polisi Keselamatan Siber PERKESO dan surat pekeliling/arahan terkini untuk menangani isu-isu operasi projek. Pelan ini hendaklah mengenal pasti perlindungan data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan keselamatan bagi setiap kategori elemen di bawah : (1) Peranti Pengkomputeran Peribadi (a) Peranti pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, stesen kerja, telefon pintar, tablet dan peranti storan. (b) Pengguna yang menggunakan peranti pengkomputeran peribadi milik persendirian untuk mencapai Maklumat Rasmi hendaklah memohon kebenaran daripada PERKESO. Walau bagaimanapun,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 24 dari 146 POLISI KESELAMATAN SIBER PERKESO peranti pengkomputeran peribadi milik persendirian hendaklah dilarang daripada mencapai Maklumat Rahsia Rasmi dan dilarang sama sekali dibawa masuk ke kawasan terperingkat. Teknologi yang boleh menguruskan peranti pengkomputeran peribadi milik persendirian hendaklah dilaksanakan sebagai sebahagian daripada pelan pengolahan risiko. (2) Peranti Rangkaian (a) Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling berhubung antara peranti komputer dan sistem seperti suis, penghala, tembok api, peranti VPN dan kabel. (b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-pergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. (3) Aplikasi (a) Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi, sistem operasi. (b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, datadalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. (4) Pelayan (a) Pelayan merujuk kepada peranti pengkomputeran yang mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat. (b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, datadalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 25 dari 146 POLISI KESELAMATAN SIBER PERKESO (5) Persekitaran Fizikal (a) Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan sistem ICT. (b) PERKESO hendaklah merujuk kepada Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia (CGSO) untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat. (c) Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth. (d) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, datadalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. PERNYATAAN POLISI KESELAMATAN SIBER PERKESO Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan dan melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan siber sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan sistem ICT sentiasa beroperasi secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas keselamatan ICT iaitu: a. Melindungi maklumat rasmi organisasi mengikut klasifikasi dari capaian tanpa kuasa yang sah; b. Menjamin setiap maklumat adalah tepat dan sempurna;

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 26 dari 146 POLISI KESELAMATAN SIBER PERKESO c. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan d. Memastikan akses kepada pengguna-pengguna yang sah. Pernyataan ini merangkumi perlindungan semua bentuk maklumat elektronik dan bukan elektronik yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dalam penghantaran dan yang dibuat salinan bagi memelihara keselamatan ruang siber dan ketersediaan maklumat kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: a. Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran; b. Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini dan hanya boleh diubah dengan cara yang dibenarkan; c. Tidak Boleh Disangkal - Punca data dan maklumat hendaklah daripada punca yang sah dan tidak boleh disangkal; d. Kesahihan - Data dan maklumat hendaklah dipastikan kesahihannya; dan e. Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bilabila masa. Selain itu, langkah-langkah ke arah memelihara keselamatan siber hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan ICT PERKESO, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkahlangkah pencegahan yang perlu diambil untuk menangani risiko berkenaan. 14 bidang keselamatan yang terlibat di dalam Polisi Keselamatan Siber PERKESO diterangkan dengan lebih jelas dan teratur seperti berikut :

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 27 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 01(A.5) Polisi Keselamatan Maklumat (Information Security Policy) 0101(A.5.1) Hala Tuju Pengurusan Untuk Keselamatan Maklumat (Management Direction for Information Security) Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan PERKESO dan perundangan yang berkaitan. DP010101(A.5.1.1) Polisi Keselamatan Maklumat (Policies for Information Security) Pelaksanaan polisi ini akan dijalankan dan diluluskan oleh Ketua Eksekutif PERKESO dengan disokong oleh Jawatankusa Pemandu ICT yang terdiri daripada Chief Strategy and Transformation Officer (CSTO), Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO), Ketua Bahagian (KB), Ketua Cawangan (KC), Ketua Unit (KU) dan ahli-ahli yang dilantik oleh Ketua Eksekutif PERKESO. Polisi Keselamatan Siber PERKESO mestilah dipatuhi oleh semua Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO. Satu set polisi untuk keselamatan maklumat perlu ditakrifkan, diluluskan, diterbitkan dan dimaklumkan oleh pihak pengurusan PERKESO melalui JPICT kepada semua anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO. JPICT / JPISMS / CSTO / CIO / ICTSO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 28 dari 146 POLISI KESELAMATAN SIBER PERKESO DP010102(A.5.1.2) Kajian Semula Polisi Untuk Keselamatan Maklumat (Review of Policies for Information Security) Polisi ini perlu disemak dan dipinda pada jangka masa yang dirancang atau apabila terdapat perubahan teknologi, aplikasi, prosedur, perundangan dan polisi Kerajaan. Berikut ialah prosedur yang berkaitan dengan kajian semula Polisi Keselamatan Siber PERKESO : (i) Mengenal pasti dan menentukan perubahan yang diperlukan; (ii) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO untuk tindakan dan pertimbangan kepada JPICT bagi tujuan pengesahan; (iii) Memaklumkan pindaaan yang telah disahkan oleh JPICT kepada semua anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO; dan (iv) Polisi ini hendaklah dikaji semula setiap LIMA (5) TAHUN SEKALI atau mengikut keperluan semasa bagi memastikan dokumen sentiasa relevan. JPICT / JPISMS / CSTO / CIO / ICTSO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 29 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 02(A.6) Perancangan Bagi Keselamatan Organisasi (Organization of Information Security) 0201(A.6.1) Perancangan Dalaman (Internal Organization) Objektif: Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif Polisi Keselamatan Siber PERKESO. DP020101(A.6.1.1) Peranan dan Tanggungjawab Keselamatan Maklumat (Information security roles and responsibilities) (i) Ketua Eksekutif Peranan dan tanggungjawab adalah seperti yang berikut: a. Mengetuai Jawatankuasa Pemandu ICT PERKESO dan meluluskan dokumen PKSB PERKESO; b. Memastikan penguatkuasaan pelaksaaan Polisi ini; c. Memastikan semua anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO memahami dan mematuhi peruntukanperuntukan di bawah Polisi ini; d. Memastikan semua keperluan PERKESO seperti sumber kewangan, personel dan perlindungan keselamatan adalah mencukupi; dan e. Memastikan pengurusan risiko dan program keselamatan siber dilaksanakan seperti yang ditetapkan di dalam Polisi ini. Ketua Eksekutif

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 30 dari 146 POLISI KESELAMATAN SIBER PERKESO (ii) Ketua Bahagian Strategi dan Transformasi (CSTO) Peranan dan tanggungjawab adalah seperti yang berikut: a. Bertanggungjawab kepada Ketua Eksekutif dalam melaksanakan tugas-tugas yang melibatkan keselamatan siber seperti yang ditetapkan dalam Polisi ini; b. Bertanggungjawab kepada Ketua Eksekutif dalam memastikan kawalan keselamatan maklumat dalam PERKESO diseragam dan diselaraskan dengan sebaiknya; c. Bertanggungjawab kepada Ketua Eksekutif dalam memastikan Pelan Strategik ICT PERKESO mengandungi aspek keselamatan siber; d. Bertanggungjawab kepada Ketua Eksekutif dalam menyelaras pelan latihan dan program kesedaran keselamatan siber; dan e. Melantik CIO dan ICTSO. (iii) Ketua Pegawai Maklumat (CIO) Peranan dan tanggungjawab CIO yang dilantik adalah seperti yang berikut: a. Membantu Ketua Eksekutif dan CSTO dalam melaksanakan tugas-tugas yang melibatkan keselamatan siber seperti yang ditetapkan dalam Polisi ini; b. Memastikan kawalan keselamatan maklumat dalam PERKESO diseragam dan diselaraskan dengan sebaiknya; CSTO CIO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 31 dari 146 POLISI KESELAMATAN SIBER PERKESO c. Memastikan Pelan Strategik ICT PERKESO mengandungi aspek keselamatan siber; dan d. Menyelaras pelan latihan dan program kesedaran keselamatan siber. (iv) Pegawai Keselamatan ICT (ICTSO) Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti yang berikut: a. Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Polisi ini; b. Memastikan pengurusan risiko dan audit keselamatan siber dilaksanakan berpandukan rangka kerja, polisi, pekeliling/garis panduan dan pelan pengurusan keselamatan maklumat yang berkuat kuasa; c. Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlakunya ancaman keselamatan siber dan memberikan khidmat nasihat serta menyediakan langkahlangkah perlindungan yang bersesuaian; d. Melaporkan insiden keselamatan siber kepada CSIRT PERKESO dan seterusnya membantu dalam penyiasatan atau pemulihan; e. Melaporkan insiden keselamatan siber kepada CIO bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan (PKP); f. Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan siber dan memperakukan langkah-langkah baik pulih dengan segera; g. Melaksanakan pematuhan Polisi ini oleh semua anggota PERKESO, pembekal, pakar runding dan ICTSO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 32 dari 146 POLISI KESELAMATAN SIBER PERKESO pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO; h. Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan siber; dan i. Menyedia dan merangka latihan dan program kesedaran keselamatan siber. (v) Ketua Bahagian (KB) Peranan dan tanggungjawab KB ialah melaksanakan keperluan Polisi ini dalam operasi semasa seperti yang berikut: a. Pelaksanaan sistem atau aplikasi baharu sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baru; b. Pembelian atau peningkatan perisian dan sistem komputer; c. Perolehan teknologi dan perkhidmatan komunikasi baru; d. Menentukan pembekal dan rakan usaha sama menjalani tapisan keselamatan; e. Mengenal pasti dan mencalonkan mana-mana pegawai untuk program PKSB PERKESO dengan memastikan pengasingan tugas di setiap bahagian masing-masing; dan f. Memastikan pematuhan kepada pelaksanaan rangka kerja, polisi, pekeliling/garis panduan dan Pelan Pengurusan Keselamatan Maklumat Kerajaan yang berkuat kuasa. KB

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 33 dari 146 POLISI KESELAMATAN SIBER PERKESO (vi) Koordinator Pasukan Keselamatan Siber PERKESO hendaklah bekerjasama dan kolaborasi dengan semua peringkat pengguna dalam PERKESO bagi memastikan kelancaran aktiviti keselamatan siber. Peranan dan tanggungjawab Koordinator adalah seperti berikut: a. Mengkaji PKSB setiap lima (5) tahun sekali atau mengikut keperluan keselamatan siber; b. Memastikan aktiviti keselamatan dilaksanakan bersesuaian dengan polisi keselamatan siber; c. Mengenal pasti langkah-langkah menangani ketidakpatuhan; d. Mengenal pasti keperluan dan pelaksanaan kawalan keselamatan siber; e. Membantu mempromosikan keselamatan siber melalui program kesedaran dan latihan; dan f. Mencadangkan Pentadbir mengikut bidang masing-masing. Semua pembahagian tanggungjawab keselamatan siber hendaklah dikenal pasti bagi tujuan perlindungan keselamatan maklumat PERKESO. Pentadbir Pasukan Keselamatan Siber PERKESO mengikut bidang masingmasing mempunyai peranan dan tanggungjawab seperti berikut: Koordinator Pasukan Keselamatan Siber Pentadbir Pasukan Keselamatan Siber

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 34 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Pentadbir (Sumber Manusia) berperanan dan bertanggungjawab seperti berikut: • Memastikan hal berkaitan keselamatan siber diambil kira dalam urusan sebelum, semasa dan tamat perkhidmatan pengguna b. Pentadbir (Tatatertib) berperanan dan bertanggungjawab seperti berikut: • Memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar PKSB PERKESO. c. Pentadbir (Latihan) berperanan dan bertanggungjawab seperti berikut: • Memastikan latihan dan program kesedaran keselamatan siber diberikan kepada semua pengguna; dan • Menjadikan program kesedaran keselamatan siber sebagai satu agenda kepada pengguna yang baru dilantik ke dalam PERKESO. d. Pentadbir (Perundangan) berperanan dan bertanggungjawab seperti berikut: • Memastikan klausa keselamatan siber diambil kira dalam setiap kontrak perjanjian dengan pembekal / pakar runding / pengguna luar; dan • Memberi pandangan dan nasihat dari aspek pematuhan dan perundangan. Pentadbir Sumber Manusia Pentadbir Tatatertib Pentadbir Latihan Pentadbir Perundangan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 35 dari 146 POLISI KESELAMATAN SIBER PERKESO e. Pentadbir (Pengurusan Risiko) berperanan dan bertanggungjawab seperti berikut: • Mengkaji, mengenal pasti, menilai dan seterusnya mengawal tahap risiko; • Mencadang kawalan yang diperlukan bagi menangani risiko; dan • Menyediakan laporan penilaian risiko. f. Pentadbir (Audit ICT) berperanan dan bertanggungjawab seperti berikut: • Menjalankan audit ICT secara berkala; • Menyediakan laporan audit ICT; • Memastikan kawalan dan perlindungan keselamatan ICT dipatuhi; dan • Membentangkan penemuan audit ICT di dalam Mesyuarat Jawatankuasa Governan, Etika, Audit dan Risiko (GEAR) Lembaga g. Pentadbir (Hartanah) berperanan dan bertanggungjawab seperti berikut: • Memastikan premis PERKESO yang dibeli, disewa dan diubahsuai mempunyai ciri-ciri keselamatan perimeter; dan • Memastikan semua premis PERKESO memiliki Sijil Layak Menduduki Bangunan dan lain-lain Sijil (jika berkaitan) yang dikeluarkan / dikuatkuasakan oleh Pihak Berkuasa Tempatan. h. Pentadbir (Keselamatan dan Kesihatan) berperanan dan bertanggungjawab seperti berikut: Pentadbir Pengurusan Risiko Pentadbir Audit ICT Pentadbir Hartanah Pentadbir Keselamatan & Kesihatan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 36 dari 146 POLISI KESELAMATAN SIBER PERKESO • Memastikan Jawatankuasa Keselamatan dan Kesihatan mengkaji Manual Keselamatan & Kesihatan Anggota PERKESO dalam penggunaan peralatan ICT; dan • Memantau kemasukan pihak pembekal bagi pemasangan perkakasan ICT kepada pengguna dengan mengambilkira faktor-faktor keselamatan dan kesihatan pekerjaan terutamanya ergonomik. i. Pentadbir (Perolehan) berperanan dan bertanggungjawab seperti berikut: • Memastikan dokumen berikut ditandatangani dan dikembalikan bersama Surat Setuju Terima sebelum aktiviti dilaksanakan oleh pengguna luar: i. Non-Disclosure Agreement; ii. Surat Akuan Pembida Berjaya; dan iii. Polisi Keselamatan Siber PERKESO (Pembekal / Pakar Runding / Pengguna Luar) j. Pentadbir (Keselamatan Jabatan) atau PKJ berperanan dan bertanggungjawab seperti berikut: • Bertanggungjawab ke atas semua aspek keselamatan dokumen, bahan dan maklumat rasmi, perkara terperingkat dan rahsia rasmi PERKESO, bangunan dan harta benda Kerajaan daripada sebarang ancaman, kecurian, kebakaran dan sebagainya dan mengemukakan perakuan-perakuan kepada Pentadbir Perolehan Pentadbir Keselamatan Jabatan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 37 dari 146 POLISI KESELAMATAN SIBER PERKESO Ketua Jabatan akan cadangan-cadangan untuk meningkatkan langkah-langkah keselamatan perlindungan dari semasa ke semasa mengikut kesesuaian; • Menubuhkan Jawatankuasa Keselamatan Jabatan yang dipengerusikan oleh PKJ berperanan untuk menyelaraskan pelaksanaan kawalan keselamatan perlindungan serta menyelesaikan isu-isu berbangkit dalam melaksanakan kawalan keselamatan perlindungan; • Mewakili PERKESO dalam menghadiri mesyuarat mengenai keselamatan dari semasa ke semasa dan jika perlu membentangkan laporan keselamatan bagi PERKESO serta isu-isu yang tidak dapat diselesaikan di peringkat PERKESO yang mana beliau mewakilinya; • Menubuhkan Jawatankuasa yang akan dipengerusikan oleh Ketua Pegawai Eksekutif yang akan bermesyuarat dengan serta-merta, jika berlaku sebarang kejadian kecemasan yang melibatkan keselamatan dokumen dan kebocoran maklumat terperingkat dan rahsia rasmi serta harta benda Kerajaan dan sebagainya. Menyediakan laporan hasil mesyuarat Jawatankuasa berkenaan untuk makluman dan tindakan pihak-pihak berkuasa berkenaan; • Mengadakan pemeriksaaan dari semasa ke semasa ke atas bangunan, sistem pendawaian elektrik, bilik komputer, bilik server, bilik Pendaftaran Rahsia dan peralatan termasuk kawasan pejabat dan semua perkara di bawah tanggungjawabnya bagi memastikan ia dalam

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 38 dari 146 POLISI KESELAMATAN SIBER PERKESO keadaan selamat dan terkawal serta tidak terdedah kepada sebarang ancaman dan risiko; • Mengadakan kursus dan taklimat kesedaran keselamatan perlindungan dengan kerjasama Pejabat Ketua Pegawai Keselamatan Kerajaan bagi memastikan setiap penjawat awam memahami langkah-langkah serta peraturan keselamatan perlindungan; • Bekerjasama rapat dengan Pegawai Keselamatan Kerajaan untuk mendapatkan khidmat nasihat mengenai langkah-langkah meningkatkan sistem dan kawalan keselamatan perlindungan di PERKESO; • Bekerjasama rapat dengan Cawangan Khas PDRM bagi mendapatkan maklumat terkini berkaitan dengan ancaman keselamatan dari segi jenayah dan espionaj Jabatan-Jabatan Kerajaan; dan • Melaksanakan tugas-tugas lain yang ditetapkan dalam peraturan-peraturan keselamatan Kerajaan yang sedang berkuatkuasa dari semasa ke semasa. k. Pentadbir (Pengelas) berperanan dan bertanggungjawab seperti berikut: • Menentukan dokumen yang dibuat semakan adalah dokumen Bahagian / Cawangan / Unit masing-masing sahaja; • Menilai taraf keselamatan dokumen sama ada Rahsia Besar, Rahsia, Sulit, Terhad atau Terbuka mengikut tafsiran sedia ada di dalam Arahan Keselamatan yang sedang berkuat kuasa; Pentadbir Pengelas

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 39 dari 146 POLISI KESELAMATAN SIBER PERKESO • Dokumen di tanda pengelasan mengikut peringkat yang telah ditetapkan di setiap muka surat; dan • Merekodkan dalam Buku Daftar Suratan Rahsia Rasmi di Luar Jadual / bawah Jadual Akta Rahsia Rasmi 1972 dan ditandatangani oleh Pegawai Pengelas. l. Pentadbir (Media Sosial) berperanan dan bertanggungjawab seperti berikut: • Mengenal pasti objektif utama penggunaan media sosial; • Memahami cara penggunaan setiap media sosial sebelum digunakan oleh agensi; • Mematuhi Kod Etika Perkhidmatan Awam dalam penggunaan media sosial dan mendapatkan khidmat nasihat sekiranya diperlukan; • Memastikan akaun media sosial rasmi adalah milik agensi dan bukan milik individu; • Menggunakan platform media sosial yang mempunyai penggunaan yang tinggi di kalangan kumpulan sasaran/rakyat; • Mewujudkan rangkaian dan hubungan baik dengan pemegang amanah melalui media sosial bagi memudahkan komunikasi pada bilabila masa; • Mengikuti perkembangan media sosial terkini bagi memastikan penggunaannya di kalangan rakyat sentiasa berkembang maju; • Mengelakkan daripada mewujudkan akaun media sosial yang tidak mampu diselaras dan dipantau; Pentadbir Media Sosial

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 40 dari 146 POLISI KESELAMATAN SIBER PERKESO • Membincangkan isu atau topik sensitif secara luar talian; dan • Mengelakkan komunikasi dengan pengguna yang bersikap agresif atau kasar. m. Sistem ICT boleh dibahagikan kepada beberapa komponen utama tidak terhad kepada pembangunan aplikasi teras, aplikasi & sokongan, pentadbiran sistem dan server, pengujian sistem ICT, rangkaian & keselamatan ICT, e-mel, web, pusat data, pusat pemulihan bencana, kejuruteraan ICT, pangkalan data, aset ICT dan perkhidmatan pengkomputeran awan. Pentadbir (ICT) berperanan dan bertanggungjawab seperti berikut: • Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai personel yang berhenti, bertukar, bercuti, berkursus panjang, berlaku perubahan dalam bidang tugas atau menghadapi tindakan tatatertib; • Menentukan ketetapan dan kesahihan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Polisi ini; • Memantau aktiviti capaian sistem aplikasi berdasarkan peranan yang dipertanggungjawabkan oleh Ketua Bahagian/Cawangan/Unit; • Menentukan Pentadbir ICT yang diberi kebenaran untuk mengakses server, aplikasi, pangkalan data dan rangkaian. • Mengenal pasti aktiviti-aktiviti pencerobohan dan pengubahsuaian data tanpa kebenaran Pentadbir ICT; a. Pentadbir Sistem dan Server; b. Pentadbir Pusat Data; c. Pentadbir Pusat Pemulihan Bencana; d. Pentadbir Rangkaian dan Keselamatan ICT; e. Pentadbir Aplikasi Teras; f. Pentadbir Aplikasi dan Sokongan; g. Pentadbir Pengujian Sistem; h. Pentadbir E-mel; i. Pentadbir Web; j. Pentadbir Pangkalan Data;

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 41 dari 146 POLISI KESELAMATAN SIBER PERKESO dan membatalkan atau memberhentikannya dengan serta-merta; • Menganalisis dan menyimpan rekod jejak audit (audit trail) mengikut kesesuaian; • Menyediakan laporan mengenai aktiviti capaian secara berkala; • Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada personel di dalam keadaan baik. • Menjaga kerahsiaan kata laluan; • Menjaga kerahsiaan maklumat dan konfigurasi aset ICT; • Memastikan semua peralatan dan perisian rangkaian diselenggara dengan sempurna; • Menentukan ketetapan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Polisi Keselamatan Siber PERKESO; • Melaksanakan penyelenggaraan dan patches terkini; • Memantau aktiviti capaian pengguna; • Mengawalselia penggunaan dan penyambungan rangkaian semua sumber yang dihubungkan; dan • Memantau keperluan langganan dan pembelian bagi memastikan penggunaan pada tahap optimum & pembayaran dilaksanakan mengikut kontrak yang dipersetujui. k. Pentadbir Aset ICT; dan l. Pentadbir Perkhidmatan Pengkomputeran Awan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 42 dari 146 POLISI KESELAMATAN SIBER PERKESO (vii) Jawatankuasa Pemandu ICT (JPICT) PERKESO Bertanggungjawab : a. Menetapkan hala tuju dan strategi untuk pembangunan dan pelaksanaan ICT PERKESO; b. Menetapkan hala tuju keseluruhan pelaksanaan pensijilan ISMS PERKESO yang merangkumi perancangan, pemantauan dan pengesanan terhadap : i. Pelaksanaan pensijilan ISMS ke atas perkhidmatan PERKESO yang dikenal pasti; ii. Kelulusan ke atas dasar, objektif dan skop pelaksanaan ISMS; iii. Penetapan kriteria penerimaan risiko, tahap risiko dan risk treatment plan; iv. Kajian semula pelaksanaan pensijilan ISMS ke atas perkhidmatan-perkhidmatan PERKESO yang dikenal pasti; v. Dasar dan objektif ISMS diwujudkan selaras dengan hala tuju strategik PERKESO; vi. Keperluan ISMS diterapkan dalam budaya kerja pegawai PERKESO; vii. Sumber yang diperlukan oleh pasukan pelaksana ISMS; viii. Kepentingan pengurusan ISMS yang berkesan dan pematuhan terhadap keperluanya; ix. Pencapaian sasaran ISMS seperti yang dirancang; x. Arahan dan sokongan kepada pasukan ISMS PERKESO bagi memastikan ISMS dapat dilaksanakan dengan berkesan; dan JPICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 43 dari 146 POLISI KESELAMATAN SIBER PERKESO xi. Pelaksanaan program penambahbaikan dan peningkatan ISMS yang berterusan. c. Menetapkan keperluan sumber seperti kepakaran, tenaga kerja dan kewangan yang diperlukan bagi melaksanakan arah tuju/strategi ICT PERKESO; d. Meluluskan perolehan keperluan ICT PERKESO berdasarkan kepada keperluan sebenar dengan perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa berkaitan; e. Memantau perkembangan status perolehan keperluan ICT yang telah diluluskan; dan f. Menetapkan langkah-langkah keselamatan siber PERKESO. (viii) Jawatankuasa Pelaksana Information Security Management System (ISMS) PERKESO Projek Persijilan ISO/IEC 27001:2013 dilaksanakan oleh sebuah pasukan projek terdiri dari pentadbir Bahagian Strategi dan Transformasi dan Bahagian/Cawangan berkaitan. Struktur Organisasi projek ini telah dipersetujui oleh Chief Strategy and Transformation Officer (CSTO). Pasukan projek ini telah dibahagikan kepada pasukan kecil bagi memudahkan perjalanan projek. Senarai tugas dan tanggungjawab Pasukan Pelaksana adalah seperti berikut: a. Merancang, menyelaras, mengurus dan memantau pelaksanaan pensijilan termasuk perkara-perkara berikut: i. Struktur organisasi dan tadbir urus ISMS; ii. Program kesedaran dan latihan ISMS; iii. Penyataan dasar dan penentuan skop ISMS; JPISMS PERKESO